支付宝年度账单损害的不止是隐私，还有网络信任

——大数据时代的隐私保护和信任构建

赵付春 | 上海社会科学院信息研究所副研究员

本文原载《探索与争鸣》2017年第12期，原标题为《大数据环境下用户隐私保护和信任构建》

非经注明，文中图片来自网络

编者按：2018年一开年，“支付宝年度账单”事件就引爆网络。该功能涉嫌在用户不知情状态下获取信息，引发广泛关注。尽管支付宝负责人已被有关部门约谈，但互联网技术发展对个人隐私带来巨大挑战，已成为不容置疑的事实。社会信息化高度发达的同时，个人数据权益保护现状不容乐观。保护网络用户隐私，构建人格化信任机制不失为一条重要途径。

近年来大数据的广泛应用实践表明，通过海量数据的收集、处理和分享，可以创造新的商业模式、推动科研发现、改善社会治理。但由于法规建设滞后性和技术迅速发展等原因，人们在享受技术便利的同时，也面临越来越严重的隐私被侵犯问题。这已经受到各界的广泛关注。当前，信息技术革命仍然在进行之中，新技术、新应用不断涌现，使得许多法规的适用性相当局限。而相比之下，实践中大量的隐私保护问题涉及具体交易双方之间的互动关系。在这种情况下，用户的隐私保护需要更加柔性的安排，需要构建人格化的信任机制作为补充。

法规和技术不足以解决

个人隐私保护问题

大数据带来的个人隐私侵犯是一个全球性问题。美国和欧盟虽然对于个人隐私保护有着相对健全的法规，但它们对此仍然感到棘手。原有法规面临互联网开放、跨境管辖权等新的挑战，适用性明显不足。目前各国一致认为，应该在国际层面建立网络空间安全的协调机制。

而从技术上看，数据保护与黑客（骇客）技术之间，实质上是一种永无止境的道魔之争。互联网的基本特性是开放和共享，从其基本技术架构来看，数据安全和保护绝非其优先项，即便涉及隐私信息。这种情况下，除非用户不连接互联网，拒绝接受互联网企业的服务，否则对于特定数据专门进行保护是困难的。在各类商业组织强大的数据变现动机驱动下，用户信息成为可供交易的商品。

大数据的价值实现与个人隐私保护之间，存在着强大的、几乎无法克服的张力。现有法律和技术手段本质上是建立一种非人格化的信任，能够为个人隐私保护提供基本的保障，但是在当下互联网迅猛发展的中国，其作用相当有限。要真正为个人隐私信息建立屏障，还需要关注人格化的交易信任机制的构建。信任可分为人格化和非人格化信任两类。法律和技术强调非人格化信任的作用，其主要优点是将信任与交易对象的特性相脱离，具有一定的普遍性，但忽视了具体情境和不同交易之间的关系。

传统熟人社会的交易很大程度上信赖人格化的信任。而在理想的完全市场竞争环境下，理性经济人只依赖于市场运行规则等非人格信任机制，摒弃了人格化信任。二者各有偏颇。正是基于此，社会学家格兰诺维特(Granovetter)引入“嵌入性”的概念，认为在现实中，企业与个人之间的交易既不完全受法律的制约（低度社会化观点），也不完全是受道德的约束（过度社会化观点），还受到在企业与用户互动中产生的信任的制约。

从信任的概念看，它不是一个单一维度的概念，而是可信度（trustworthiness）、信任意图（trusting intention）和信任行为（trusting behavior）三个概念的组合。Mayer 等人对信任的定义是：一方对另一方会做出对本人来说很重要的行动抱有乐观态度和预期，从而愿意将自身弱点暴露在对方面前，而不在意是否有监督和控制机制的存在。Rousseau等人综合经济学、心理学和社会学等学科对信任的定义，强调信任是一种心理状态，由对另一方行为或意图的正面预期和愿意接受脆弱性两部分所组成。

很显然，这符合大数据环境下，用户将自身数据托付到互联网企业手中的情形。然而，将监督机制和制约机制排除在信任之外，却是不完全符合实际的。制度的完善性可以降低信任的需求，但是信任与制度并不冲突。大多数情况下，由于契约的不完全性，信任与制度并存，起着互补性作用。

大数据环境中信任关系的新特征

在传统购物环境下，用户到市场购物，一手交钱，一手交货，只需要有对厂家信誉及其商品本身质量方面的信任，较少涉及其他方面。在互联网刚出现的年代，用户个人数据更多是一种交易的副产品，被称为“数据废气”，除了少数平台企业，并未受到太多关注。

到了大数据年代，各类固定和移动终端设备、传感器、网站、应用程序等全天候、自动记录了人们的行为、位置、聊天纪录等各类数据。可以说，“技术继续渗透社会生活，全方位地参与到社会生活当中，从而‘控制’用户对技术的需求和使用”。这些数据蕴含着巨大的商业和社会价值，在数据权属界定模糊的情况下，作为信息搜集者的各类组织有内在动力将其作为一种“数据资产”，开展“精准营销”，构成其商业运营模式的基础。

大数据环境下，互联网企业掌握了更多的个人隐私信息，相应地个人敏感度和感知风险相对更高，就需要有更多个人的信任需求，根据权责对等原则，要求企业承担更多的责任。信任关系中内含一定的风险，信任方的感知风险调节着信任与风险承担之间的关系。

从用户与互联网企业之间的交易看，个人提供隐私信息来换取企业的个性化服务，属于单向信任的情况，因为“大众是以个人信息为代价来获取网站免费服务的”。而且，“晦涩的文字条款、繁杂的信息处理都会加剧个人放弃对隐私的控制权”。通常情况是用户个人信息付出在前，企业服务在后，类似于预付款。企业后期的服务不到位甚至不提供服务，而用户有价值的个人信息已经付出，具有不可撤回性且完全不可控。这其中，用户显然承担了更多的风险。同时由于信息不对称，掌握用户个人信息的企业存在较严重的道德风险。

根据美国总统科技顾问委员会（PCAST）的报告，双方在隐私信息利用方面由于无法实施“知情同意”这一传统条款，现有的隐私声明不足以约束企业的行为。企业可能在未经允许的情况下，利用并出售用户信息，从中获利。用户甚至不可能知道是哪一家企业泄露了信息，哪些企业在利用它。这种情况下，用户感知风险非常高，从而要么不提供信息，要么提供虚假的信息，最后导致一种双输的局面。

总之，大数据不仅采集用户消费和交易数据，还有用户基本资料、偏好、社交数据，而且常常是跨平台的数据整合。这让用户隐私数据保护问题变得特别复杂，而对此类数据保护的关切使得用户对于网站的信任问题变得尤其重要。鉴于此，以下将从交易双方，即受信任方（企业）和信任方（用户）两个方面讨论各自在推动用户隐私保护的策略。

大数据环境下信任构建策略

个人与企业在网络上开展交易时，存在三层交易。企业在掌握个人数据后，应当承担起保护和合理使用数据的社会责任。这种社会责任不外乎出于功利和道德两种动机。功利动机是隐私泄露和不泄露之间的利益权衡，道德动机则认为泄露个人隐私是违背伦理规范的。借鉴商业环境下的信任理论，可以从如下三个层面的信任的具体分析中提出用户隐私数据保护的方案。

（一）谨慎对待情感性信任

情感性信任（Affective trust）是人们将信任置于对信任对象的关心和关切而产生的情感之上。情感取决于信任者的安全感和所感知的关系强度。声誉是其影响因素之一，但是情感性信任更多是由个人对信任对象的交往经验和知识所决定，依赖于双方感情的强度。

当双方情感联系加深，一方对另一方的信任可能会超越个人所掌握知识的程度，表现出一种非理性的判断。它更多是基于感情的冲动而非客观风险评估而作出的信任决定，是一种基于心理的信任，包括同情、默契和自我表露。在用户隐私保护方面，这种情感性信任的作用特别明显。

情感性信任诉诸于用户的心。企业通过打感情牌来感动用户，希望用户透露更多的个人信息，以便更多地了解用户的偏好，从而提供个性化的服务。从反面看，这也为一些无良企业提供“个性化的”欺诈方案。

在隐私保护问题上，我们建议用户要尽量减少这种信任。因其中存在的几个问题是必须考虑的：首先，这一交换是否属于共赢是一个见仁见智的问题，并不是所有用户都愿意达成这种交易的。很多用户只是一时冲动，但由于信息为企业所掌握，不可撤回，可能要多次受到企业广告信息的干扰。

其次，打感情牌的企业并不一定是信誉有保障的企业，不能排除企业进一步销售用户个人信息或信息被盗窃的可能。最后，交易的公平性值得商榷。在歧视价格策略广泛应用的互联网环境下，用户的偏好越来越容易被泄露，企业可以借此更多地榨取用户价值。总之，仅仅由“心”而产生的信任感缺乏理性的考虑，是很多用户沦为信息欺诈牺牲品的重要原因。

（二）以隐私保护能力建设推进认知性信任

认知性信任（Cognitive trust）是指用户对互联网企业的能力和可靠性的信心和依赖程度。它来源于用户对企业过往的了解，对其承担义务的行为可能性形成预期，即企业的可预期性和可靠性。用户对企业的了解可以通过直接的交易或沟通，也可以通过第三方的反馈，以及企业所形成的口碑和声誉等。如果企业声誉高，就很容易吸引客户，通过一两次的初始交易和体验，用户会确认或否认最初的认知，进而形成认知性信任。这是一种基于头脑的信任，包括工具性计算和评估。

尽管认知性信任是由用户所掌握的企业知识所驱动的，但这种知识常常是不完全的，同时随着企业规模变大，它兑现承诺和保护用户数据的能力是否能跟得上也是值得怀疑的。由于信息仍然处于不对称状态，用户信息面临的风险可能会随着时间变化和递增，其对企业的信任也会发生变化。

因此，企业要建立用户在隐私方面的认知性信任，需要不断提升和展示自身的能力，包括技术和管理能力，以赢得用户的信任感。就用户隐私数据而言，一方面是提升防御黑客攻击的水平；另一方面是发生意外后，努力减少损失，迅速恢复服务的能力。

在建立认知性信任方面，企业还需要表现出诚实的品质。这要求企业兑现在信息安全方面的各种承诺。研究表明企业的诚实在与用户建立初步的信任关系，以及发生隐私数据泄露之后进行信任修补显得尤其重要。承诺不犯错并接受监督，以及犯错后坦诚并迅速改正是企业诚实的两种具体表现，也是作为一个负责任企业的表现。

站在用户角度，个人应该将隐私视为一种宝贵的个人财产，对于互联网企业通过建立信任要求获得这种财产的使用权，应当争取建立认知性信任，加入个人的理性判断，来决定这一财产使用权的交易。

（三）平台型互联网企业的制度性信任是根本

前面两类信任适用于一般的互联网企业与用户之间的关系。但在互联网上，拥有最多用户数据的企业是平台型企业，他们才是真正的大数据公司，需要予以重点关注。平台型企业要么是为买卖双方提供交易场所，要么是为不同参与者提供社交和讨论平台，或者为用户提供信息获取服务。

作为平台型互联网企业，他们享有类似于现实世界中市场监管者和立法者的地位。用户进入平台进行沟通或交易，既有对于交易对手的信任，也有对平台的信任。因此对于平台型互联网企业来说，不仅要谋求获得用户对自身的信任，很大程度上还要关注用户对商家的信任度，对于那些有可能损害平台信誉的商家，平台不应该过于容忍。就像百度、电视台等平台，尽管不一定要为虚假广告负全部责任，但还是需要关注刊登广告商家的信用一样。

因此除了上述两种信任，互联网企业还需要建立一种制度性信任。制度性信任是指人们相信在特定情境下所提供的保障、安全网络、其他非人格化的结构内在地控制了风险，使人产生安全感。这种制度的存在，是在外部法规不健全甚至不存在的情况下，平台为自身营造一个小的制度环境和氛围，减少用户交易和沟通活动的很多顾虑，从而可以赢得用户更多的信任。从这个意义上说，制度对信任起了正面的推动作用，用户对平台型企业的信任主要表现为制度性的。

制度性信任基于两种信号传递机制：一种称为情境规范性，是基于交易情境的规范程度而相信交易将获得成功。人们进行交易通常会有一个预期，当满足了这个预期，人们就会认为交易比较安全。比如人们通常会认为银行应该是严谨安全、防范严密、个人隐私能得到保护的，否则他们就不愿意将钱存到银行。

另一种结构性保障，是指由于环境中设置了安全网，如法律条款、保障和规则，人们认为交易可以成功进行，从而产生信任。在网站中有多种方式来提供结构性保障，如淘宝网上提供7日无条件退款、店家是诚信通会员、利用隐私保护条款等，使用户认为在这个平台上交易是有制度保障的，即使买错了，也可以方便地退换货，从而产生信任感。可以看出此类制度性信任主要还是技术和管理层面的制度安排，它可以给用户发出明确的信号：在隐私保护方面，本平台是值得信任的。

制度性信任是一种“信任但验证”的信任类型。在大数据时代，用户已经不可能避免自己的数据被平台企业所收集。这种情况下，我们可以部分相信平台企业的能力和信誉，但同时不能放弃对其行为的监督和考察。一些研究发现随着越来越多的移动医疗应用程序的推出，病人的隐私保护政策并没有得到很好的执行。在移动互联网大数据环境下，很多的创业项目都有这个特点，因此用户应当坚持“信任但验证”的理念。

综上所述，企业可以通过三种机制与用户建立信任。不同于商品或服务的交易，在网络隐私保护方面的信任问题上，用户与企业的关系是不对等的，用户属于付出信任也即承担风险的一方。对于用户来说，要保护好个人隐私信息，对应于前述三种企业的信任构建策略，用户应当尽量避免情感性信任，争取认知性信任，坚持制度性信任。

大数据环境下，用户隐私保护问题变得尤其突出。从信任构建的视角看，它不仅是一个技术和法律问题，就具体的企业与用户关系而言，还包括一个人格化的信任问题。在当下的中国，应综合法规、技术、信任三种机制，从而在大数据时代更好地保护个人隐私。这一综合的视角具有重要的制度含义，即在法规和技术短期内难以奏效的情况下，商业和社会信任水平可能成为隐私保护的关键，对这种信任加以量化和评分，就成为一种社会信用，社会信用体系与法制建设应该同步进行。

推动网络信用建设的主要举措包括：一是政府要重点监控平台企业在个人隐私保护方面的信用。每个平台企业都是大数据企业，他们管理着一个个“大数据湖”，对数据的流动情况有更多的信息，理应对用户隐私保护承担更多的责任。监管部门应将此作为一项重要的监控指标。二是依托于公共信用、商业信用等平台的力量，将企业声誉与隐私保护挂钩，借助于大数据算法对网站信用水平进行定期评估。三是借助互联网共享方式来解决隐私保护问题，借助于广大网民和第三方组织的力量，民主化监督企业的隐私保护行为。

正是由于互联网数据流动的复杂性，仅靠自上而下的力量是远远不够的，必须引入民间力量和第三方组织的参与，形成有效的个人隐私保护治理机制。